Analisiis De Riegos
Páginas: 14 (3311 palabras)
Publicado: 31 de octubre de 2012
ISO 270001
Módulo 8: Análisis y valoración de los riesgos. Metodologías
Uno de los puntos clave de todo SGSI es el análisis de riesgos. En este módulo además de explicar detalladamente en qué consiste y cómo debe llevarse a cabo para cumplir con lo establecido por la Norma se describirán las principales metodologías que existen en el mercado. Los contenidos de este módulo comprenden: Conceptos básicos. Realización del análisis de riesgos. Metodologías. Evaluación.
I.
Conceptos básicos de un análisis de riesgos:
En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. Elriesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más importantes: Ing. José M. Poveda
ISO 270001 Amenaza: Es la causa potencial de undaño a un activo. Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza. Impacto: consecuencias de que la amenaza ocurra. Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido. Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo. Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.
El análisis deriesgos se define como la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles. Es relativamente sencillo calcular con cuantos recursosse cuenta (económicos, humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad. Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta información ya será posible tomar decisiones bienfundamentadas acerca de qué medidas de seguridad deben implantarse. Por tanto, un aspecto de gran importancia a la hora de realizar la implantación de un SGSI es tener en cuenta que la inversión en seguridad tiene que ser proporcional al riesgo. La información es generada y tratada por el personal tanto interno como externo, mediante los equipos de tratamiento de la información existentes en laorganización y está situada en las instalaciones, por lo hay que considerar todos los riesgos relacionados con estos aspectos. II. Realización del análisis de riesgos: Preparación del análisis de riesgos Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el análisis sobre todos los activos que contiene. Si el inventario esextenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de riesgos en la confianza de que los resultados van a ser útiles.
Ing. José M. Poveda ISO 270001
Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo. Independientemente de la metodología que...
Módulo 8: Análisis y valoración de los riesgos. Metodologías
Uno de los puntos clave de todo SGSI es el análisis de riesgos. En este módulo además de explicar detalladamente en qué consiste y cómo debe llevarse a cabo para cumplir con lo establecido por la Norma se describirán las principales metodologías que existen en el mercado. Los contenidos de este módulo comprenden: Conceptos básicos. Realización del análisis de riesgos. Metodologías. Evaluación.
I.
Conceptos básicos de un análisis de riesgos:
En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. Elriesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más importantes: Ing. José M. Poveda
ISO 270001 Amenaza: Es la causa potencial de undaño a un activo. Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza. Impacto: consecuencias de que la amenaza ocurra. Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido. Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo. Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.
El análisis deriesgos se define como la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles. Es relativamente sencillo calcular con cuantos recursosse cuenta (económicos, humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad. Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta información ya será posible tomar decisiones bienfundamentadas acerca de qué medidas de seguridad deben implantarse. Por tanto, un aspecto de gran importancia a la hora de realizar la implantación de un SGSI es tener en cuenta que la inversión en seguridad tiene que ser proporcional al riesgo. La información es generada y tratada por el personal tanto interno como externo, mediante los equipos de tratamiento de la información existentes en laorganización y está situada en las instalaciones, por lo hay que considerar todos los riesgos relacionados con estos aspectos. II. Realización del análisis de riesgos: Preparación del análisis de riesgos Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el análisis sobre todos los activos que contiene. Si el inventario esextenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de riesgos en la confianza de que los resultados van a ser útiles.
Ing. José M. Poveda ISO 270001
Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo. Independientemente de la metodología que...
Leer documento completo
Regístrate para leer el documento completo.